黑基Web安全攻防班
黑基网 首页 IT技术 安全攻防 查看内容

iOS核心应用设计漏洞,暴露用户Apple ID凭证

2015-10-15 11:26| 投稿: lofor |来自: freebuf

摘要: Check Point提醒苹果iOS的核心应用程序可能会暴露用户的凭据。所幸的是iOS 9包含有相关的补丁。Apple IDios操作系统专门为用户提供了方便以便用户自己通过一个Apple ID来管理设备。现如今iOS的市场份额占当前移动设 ...

Check Point提醒苹果iOS的核心应用程序可能会暴露用户的凭据。所幸的是iOS 9包含有相关的补丁。

Apple ID

ios操作系统专门为用户提供了方便以便用户自己通过一个Apple ID来管理设备。现如今iOS的市场份额占当前移动设备行业的40%以上,Apple ID与用户的所有行为都息息相关:iTunes商店,启用iCloud,从Apple在线商店购买,在Apple Store零售店预定商品或访问苹果支持网站等。

但是,Check Point的安全研究员Kasif Dekel上个月在ios核心功能中发现了一个软件设计漏洞(CVE-2015-5832),这个软件是用来管理核心应用程序的凭证。即使用户已经注销了,这个漏洞也会保存下用户的登录凭证,从而导致设备上存储的敏感数据泄漏出去。

苹果已经核实确认该安全问题,并已发布了一个安全公告。

细节问题

由于应用程序存在这个安全漏洞,注销机制允许设备不清除应用程序中存储的敏感keychain 数据就直接执行退出。

keychain是一个加密的容器用来保存密码、证书、身份以及更多的安全服务。它也是一个安全储存容器,应用程序只能访问其自己的keychain项。要共享应用程序之间的数据,它们必须有相同的访问组代码签名的权利。

在越狱的设备上,一个已经用“通配符”权限签了自签名证书的工具已经授予访问所有的keychain项。

keychain中的一些信息:

当一个设备(iPhone / iPad的/ iPod)卖出后如果用户并不知道清理应用程序keychain数据的正确方式那么他的隐私数据可能会暴露。

需要注意的是,即使用户注销了应用程序并进行部分设备复位,信息将仍存储在keychain中。避免这种敏感数据暴露的正确的方法是升级到iOS 9然后在设备设置中选择“抹掉所有内容和设置”。

*参考来源checkpoint 译/江湖小吓 转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过
1

鸡蛋

刚表态过的朋友 (1 人)

  • 鸡蛋

    匿名

相关阅读

最新评论

最新

返回顶部